Bezpieczeństwo to podstawa
CRN Polska rozmawia ze Sławomirem Wasilewskim, kierownikiem i Jarosławem Kowalikiem, zastępcą kierownika Biura Informatyki i Telekomunikacji w Miejskim Przedsiębiorstwie Wodociągów i Kanalizacji (MPWiK) w Warszawie.
Sławomir Wasilewski – kierownik i Jarosław Kowalik – zastępca kierownika Biura Informatyki i Telekomunikacji w Miejskim Przedsiębiorstwie Wodociągów i Kanalizacji (MPWiK) w Warszawie
CRN: Ile jest informatyki w wodzie dostarczanej do warszawskich kranów?
Sławomir Wasilewski W otoczeniu zewnętrznym spotykaliśmy się z przeświadczeniem, że wodociągi używają przestarzałych technologii. Ten obraz jest jednak nieprawdziwy. W rzeczywistości realizujemy nowoczesne funkcje usługowe za pomocą nowoczesnych technologii. Posiadamy własne dwa centra przetwarzania danych pracujące jako redundantne środowisko, co zapewnia ciągłość działania krytycznych usług IT. Dokonaliśmy niedawno modernizacji centrów danych, zainstalowaliśmy nowe serwery, które są w stanie przechowywać i przetwarzać rosnące ostatnio mocno zasoby danych. Poza tym mamy własne światłowody poprowadzone w kanalizacji. Ringi światłowodowe biegną kilkoma trasami i dochodzą do większości zakładów i biur przedsiębiorstwa. Wykorzystujemy zintegrowany system komunikacyjny, który łączy krótkofalówki działające w cyfrowym standardzie DMR III z telefonami stacjonarnymi i komórkami. Prowadzimy projekty informatyczne, które są unikalne w skali całego kraju.
Jarosław Kowalik Naszym głównym zadaniem jest zapewnienie ciągłości działania przedsiębiorstwa. Mamy więc bardzo duży udział w zapewnieniu sprawnego i bezpiecznego funkcjonowania sieci wodociągowo-kanalizacyjnej. W naszej gestii leży wiele obszarów działania i technologii: informatyka, telekomunikacja, serwerownie, cyberbezpieczeństwo, automatyka przemysłowa (OT – operation technology). Odpowiadamy za całe OT na poziomie systemów SCADA, czyli za działanie i rozwój systemu nadzorującego przebieg procesów technologicznych.
Dlaczego automatykę przemysłową włączono do kompetencji działu IT?
Sławomir Wasilewski Urządzenia z obszaru OT są coraz bardziej zaawansowane. Pojawiła się więc potrzeba wspólnych standardów dla całego środowiska cyfrowego MPWiK. Kompetencje OT i IT zostały połączone również w celu ujednolicenia planów rozwoju technologii, które coraz bardziej się przenikają, łączą, stając się wspólnie jednolitą infrastrukturą cyfrową. OT bez IT staje się dzisiaj coraz bardziej bezużyteczne, lepiej więc zarządzać wszystkim według jednolitych standardów. Chodzi na przykład o to, aby był jeden standard projektowania systemów AKPiA w całej firmie, wspólny standard cyberbezpieczeństwa dla całej organizacji. Mamy obecnie 46 działających systemów SCADA, które są posadowione na 27 serwerach fizycznych.
W wielu firmach obszary OT i IT są wciąż od siebie oddzielone właśnie ze względów bezpieczeństwa…
Jarosław Kowalik Kwestie bezpieczeństwa są dla nas niezmiernie ważne, to priorytet w naszych działaniach. Na poziomie funkcjonalnym obszary IT i OT też są u nas od siebie oddzielone. Systemy SCADA są odseparowane od systemów biznesowych. Automatyka przemysłowa nie jest też dostępna z poziomu internetu, trudno więc byłoby się u nas włamać do systemów obsługujących sieci wodociągowe. Co prawda sieci SCADA są serwisowane w sposób zdalny, ale według specjalnych wymogów bezpieczeństwa, na przykład każde wejście serwisanta do systemu jest w odpowiedni sposób autoryzowane i rejestrowane.
Sławomir Wasilewski Możemy zapewnić wysoki poziom zabezpieczeń, chociażby dlatego, że realizujemy spójny, kompleksowy program cyberbezpieczeństwa dla całej organizacji. Wyznaczone są specyficzne zadania dla poszczególnych obszarów działalności, ale jednocześnie całość jest objęta jednakowym podejściem do obowiązujących wszystkich zasad cyberbezpieczeństwa.
Jakie są dla was najważniejsze wyzwania w zakresie cyberbezpieczeństwa?
Jarosław Kowalik Nasze przedsiębiorstwo zostało na mocy ustawy o krajowym systemie cyberbezpieczeństwa (KSC) uznane za operatora usług kluczowych (OUK). To spowodowało nałożenie na nas specjalnych, ustawowych wymagań. Budowanie nowoczesnego systemu cyberbezpieczeństwa zaczęliśmy już jednak wcześniej. Pierwsze analizy i prace nad stworzeniem spójnych, całościowych rozwiązań wykonaliśmy w 2016 roku. Można powiedzieć, że w chwili uznania nas za OUK już byliśmy w dużej mierze gotowi do spełnienia związanych z tym wymogów.
Czy możecie Panowie powiedzieć, jakie są główne składniki tego systemu?
Jarosław Kowalik Wdrożyliśmy system bezpieczeństwa informacji w oparciu o normę ISO 27 001. Zbudowaliśmy własny SOC (Security Operation Center), który rozpocznie niebawem działalność w trybie ciągłym. W czerwcu tego roku skończyliśmy kompletowanie zespołu specjalistów do pracy w nim. Korzystamy z systemu SIEM, zapewniającego całościowy ogląd sytuacji w sieciach. Jego funkcjonowanie wspierane jest przez system analizy behawioralnej do identyfikacji incydentów w sieci. Wdrożyliśmy też wiele innych, nowoczesnych narzędzi cyberbezpieczeństwa, jak system firewalli, system zarządzania tożsamością użytkowników, system zarządzania dostępem uprzywilejowanym, system zarządzania incydentami, system ochrony poczty elektronicznej, czy rozwiązanie do audytu zmian w czasie rzeczywistym. Poza tym przykładamy dużą wagę do edukacji i kształtowania świadomości naszych pracowników korzystających z narzędzi informatycznych.
Jakie systemy informatyczne są wykorzystywane w warszawskim MPWiK?
Sławomir Wasilewski Z uwagi na usługi, które świadczy firma, dzielimy systemy na technologiczne i biznesowe. Systemy technologiczne odpowiadają za automatyzację i monitoring procesów uzdatniania wody i oczyszczania ścieków. Są to rozwiązania niezmiernie istotne dla przedsiębiorstwa, ponieważ odpowiadają za jakość i ciągłość działania podstawowych usług. Systemy SCADA, które odpowiadają za obsługę procesów technologicznych, są projektowane indywidualnie dla danego obiektu technologicznego. Spółka użytkuje 47 takich systemów. Poza systemami technologicznymi, MPWiK wykorzystuje systemy biznesowe wspierające naszą organizację w operacyjnym zarządzaniu przedsiębiorstwem. Jednym z głównych systemów biznesowych jest system Zarządzania Majątkiem Sieciowym GIS, w którym odwzorowany jest przebieg sieci wodociągowej i kanalizacyjnej. Znajduje się w nim ewidencja całej infrastruktury oraz prac prowadzonych na sieci wodociągowej i kanalizacyjnej. System pomaga zarządzać procesem dostawy wody i odbioru ścieków. Korzystamy także z systemu ERP, systemu obiegu dokumentów oraz systemu billingowego. Dla branży wodociągowo-kanalizacyjnej system billingowy ma szczególne znaczenie. Służy do wspomagania odczytów liczników i wystawiania faktur, zapewnia też obieg dokumentów związanych z rozliczeniami. Wszystkie te systemy zostały ze sobą zintegrowane, wymieniając się automatycznie określonymi informacjami.
- WAN – sieć światłowodowa: 100 km,
- sieć radiowa – łącza rezerwowe,
- dostęp do internetu – 2 x 1 Gb/s,
- urządzenia sieciowe – 300 szt.,
- systemy łączności (Alcatel) – 1460 telefonów stacjonarnych oraz 1600 urządzeń mobilnych,
- karty telemetryczne – 25 000 (wodomierze, transport, monitoring pompowni),
- własny serwer uwierzytelnienia RADIUS działający w prywatnym APN,
- komputery PC – 1600 szt.,
- system druku podążającego – 260 drukarek,
- serwery – 200 serwerów wirtualnych, 45 fizycznych,
- macierze dyskowe – 8 szt. (150 TB przestrzeni),
- systemy operacyjne – MS Windows, Linux,
- bazy danych – MS SQL (78 instancji), Oracle (17 instancji).
- 46 Systemów SCADA,
- 27 serwerów fizycznych z systemami SCADA,
- 138 komputerów klasy PC,
- rozwiązania systemowe pięciu dostawców: Control Maestro, Vijeo Citect, PCS7, Platforma Systemowa Wonderware, Monitor Pro.
Czy przedsiębiorstwo korzysta z tak zwanych inteligentnych wodomierzy?
Jarosław Kowalik Tak, część odczytów realizowana jest zdalnie. Odbywa się to za pomocą kart telemetrycznych montowanych w wodomierzach oraz specjalnego systemu informatycznego do ich obsługi. Zdalne odczyty realizowane są u dużych odbiorców wody, są to głównie firmy i instytucje. Takich wodomierzy nie montujemy na razie u odbiorców indywidualnych.
A jakie miejsce zajmuje w Państwa działalności analityka danych?
Sławomir Wasilewski Za pomocą systemów modelowania matematycznego robimy prognozy zużycia wody dla nowych osiedli mieszkaniowych. Ma to wpływ na decyzje dotyczące średnicy rur w projektowanej dla tych miejsc sieci wodociągowo-kanalizacyjnej. Wyniki analizy pozwalają określić, jaką przepływność należy zapewnić, by nie było problemów z zaopatrzeniem nowych domów w wodę.
Czy potrzebne do funkcjonowania przedsiębiorstwa systemy i narzędzia informatyczne tworzycie sami, czy też kupujecie gotowe na rynku?
Sławomir Wasilewski Systemy informatyczne najczęściej pozyskujemy od zewnętrznych dostawców. Rozwiązania wdrażane są zgodnie z naszymi potrzebami. W przypadku systemów SCADA posiadamy kompetencje pozwalające na ich rozwój i modyfikacje. Integrację systemów informatycznych wykonujemy wspólnie z dostawcami wdrażanych rozwiązań.
Czego oczekujecie od ofert składanych przez firmy zewnętrzne?
Jarosław Kowalik Wdrażamy rozwiązania sprawdzone, przetestowane, z referencjami. Robimy panele z dostawcami, aby rozpoznać aktualną ofertę rynkową. Sprawdzamy dostępne aplikacje i systemy, czasami zapraszamy do testów wybranych dostawców z ich produktami. Potem decydujemy, które rozwiązania są dla nas interesujące, które są kompatybilne z naszymi systemami, czy pasujące do naszych projektów. Liczą się też kompetencje i doświadczenia zespołu projektowego w firmie oferenta, kompetencje inżynierów realizujących wdrożenia. Liczy się również cena, która musi się mieścić w naszym budżecie. Ważny jest serwis, który może zapewnić dostawca. W związku z tym, że jesteśmy jednostką sektora publicznego, to o ostatecznym wyborze decyduje przetarg.
Rozmawiał Andrzej Gontarz
Sławomir Wasilewski z Warszawskimi Wodociągami jest związany od ponad 20 lat. Obecnie kieruje Biurem Informatyki i Telekomunikacji. Odpowiada za utrzymanie i rozwój technologii informatycznych w zakresie systemów biznesowych, sprzętu komputerowego, środowiska serwerowego, sieci komputerowych, telekomunikacji i automatyki przemysłowej. Posiada również długoletnie doświadczenie związane z funkcją kierownika projektu w zakresie IT. Jest absolwentem Wyższej Szkoły Menedżerskiej w Warszawie na kierunku Zarządzanie Systemami Informatycznymi.
Jarosław Kowalik z Warszawskimi Wodociągami jest związany od czterech lat. Pracę w MPWiK zaczynał jako zastępca kierownika w Biurze Bezpieczeństwa. Obecnie jest zastępcą kierownika w Biurze Informatyki i Telekomunikacji. Pełni również rolę koordynatora ds. Systemu Zarządzania Bezpieczeństwem Informacji oraz zastępcy koordynatora ds. dostępności cyfrowej. Realizuje zadania związane z cyberbezpieczeństwem. Wcześniej pracował w Ministerstwie Spraw Wewnętrznych i Administracji, gdzie przez 7 lat kierował Wydziałem Bezpieczeństwa Infrastruktury Teleinformatycznej. Jest absolwentem Wojskowej Akademii Technicznej na Wydziale Elektroniki oraz ukończył studia podyplomowe na Wydziale Cybernetyki.
Podobne wywiady i felietony
Ciągły proces budowania świadomości
O tym, jak przekonać klientów do inwestycji w systemy cyberochrony i dlaczego nie zawsze warto bazować na samych statystykach, rozmawiamy z Rafałem Salasą oraz Mateuszem Grelą, pełniącymi rolę Security Junior System Engineer w Ingram Micro.
Bezpieczeństwo wymaga integracji z rozwiązaniami firm trzecich
„Sprzętowe rozwiązania zabezpieczające mają ograniczoną skalowalność i dlatego uważamy, że lepiej jest stworzyć uniwersalną platformę, która będzie mogła funkcjonować w dowolnym środowisku IT” – mówi Patrick Pulvermueller, Chief Executive Officer w Acronisie.
Od lat wciąż jesteśmy krok za atakującymi
Dla dużych przedsiębiorstw, także działających w branży bezpieczeństwa IT, znaczący problem stanowi fakt, że nie tworzą wszystkiego same, że wiele komponentów i związanych z nimi usług pozyskują w ramach outsourcingu – mówi Grzegorz Wypych (h0rac), konsultant ds. bezpieczeństwa w zespole IBM X-Force Red.